Capture des données sensibles de différents organismes avec Tor

Par Rédaction, secuobs.com
Le 20/11/2007

---

Résumé : Retour sur la collecte de plus d'un millier d'identifiants et de mots de passe de comptes email (dont des ambassades et des gouvernements) par la simple mise en place de noeuds pour le système Open Source Tor qui permet de rendre anonyme les communications de ses utilisateurs sur Internet. - Lire l'article



Au mois d'août dernier, un pirate suédois, âgé de 22 ans et présenté comme chercheur en sécurité informatique indépendant, disait avoir infiltré un réseau global de communication utilisé notamment par de nombreuses ambassades afin de collecter des emails contenant des données dites sensibles ( lien ) ; Dan Egerstad affirmait avoir réalisé cette « prouesse » à l'aide de logiciels gratuits et disponibles sur Internet et cela sans avoir eu à enfreindre une quelconque loi (l'appréciation et l'interprétation des faits lui étant toutes personnelles).

Parmi les autres utilisateurs de ce réseau, on retrouve des gouvernements ainsi que des organisations non-gouvernementales et des entreprises soit un ensemble de plus de mille comptes email au total ; l'origine de la divulgation de ces données est aujourd'hui officiellement connue.

Alors que certains émettaient déjà cette hypothèse avec l'utilisation de techniques comme le Man In The Middle et la présentation de faux certificats TLS/SSL ( MITM et spoofing TLS/SSL avec le tutorial Ettercap sur Secuobs - lien ), c'est bien l'utilisation du système d'anonymisation Open Source Tor ( Voir le tutoriel sur Secuobs - lien ) qui est à l'origine du problème mais le mal est ailleurs ; pas d'attaques de type MITM ici ni de forges de faux certificats TLS/SSL pour duper les utilisateurs.

Une simple capture du trafic de données transitant et quelques recherches en fait ; c'est surtout la façon non sécurisée avec laquelle le système Tor a été utilisé dans ce contexte qui est responsable de la divulgation. Pour rappel Tor est un système de la Electronic Frontier Fondation ( lien ) ; la fondation EFF est spécialisée dans la défense des droits des citoyens dans le monde numérique.

Tor un système qui s'appuie sur les réseaux de type Onion Routing ( lien ) qui comportent plusieurs centaines de noeuds afin de rendre anonymes les connexions qui utilisent le protocole de contrôle des transmissions TCP ( lien ) pour les réseaux TCP/IP ( lien ) ; en ce qui concerne l'UDP (User Datagram Protocol - lien ) et le problème spécifique à la perte d'anonymat par les requêtes DNS, il est nécessaire de consulter la FAQ (Frequently Ask Questions) du site officiel de Tor ( lien ).

Il aurait ainsi suffit à Dan Egerstad d'installer cinq noeuds Tor et d'effectuer une capture de trafic sortant (en clair) lorsque ces noeuds étaient promus et utilisés en tant que noeuds de sortie pour le réseau Tor afin de récupérer des données sensibles ; rappelons que l'installation, la configuration et l'utilisation de Tor sont grandement facilités par l'utilisation de l'interface de configuration Vidalia ( Voir l'article sur Secuobs - lien ).

Il ne lui restait alors plus qu'à effectuer des recherches à l'aide d'expressions régulières sur ce trafic afin de récupérer les identifiants de connexions ainsi que les mots de passe relatifs aux comptes mails précédemment cités. Cette annonce est une demi-surprise dans la mesure où Tor rend anonyme vos connexions mais en rien il n'assure la confidentialité des données échangées.

Différents problèmes de sécurité ont également par le passé eu la possibilité d'affecter la sécurité de ces réseaux ( Bulletins de sécurité pour Tor sur Secumail le service d'archivage de Secuobs pour les newsletters sur la sécurité des systèmes et des réseaux - lien ).

A moins que l'on ne s'assure soi-même de garantir cette confidentialité par l'usage dans le même temps d'applications d'authentification et de chiffrement (HTTP Over TLS - lien OPENSSH - lien , STUNNEL - lien , OPENVPN - lien , Off-the-Record GAIM/PIDGIN lien ) comme il est indiqué, parmi d'autres recommandations toutes aussi importantes pour son utilisation, sur la page de téléchargement du site officiel de Tor ( lien ) :

« Tor anonymise l'origine de votre trafic et chiffre tout à l'intérieur du réseau Tor, mais il ne peut pas chiffrer votre trafic entre le réseau Tor et sa destination finale ( lien ). Si vous envoyez des informations sensibles, vous devriez employer autant de précautions que lorsque vous êtes sur l'internet normal — utilisez HTTPS ou un chiffrement final similaire et des mécanismes d'authentification. »


Pourquoi ne choisir que l'anonymat quand on peut en plus garantir la confidentialité des données ; l'absence de confidentialité entraînant généralement une perte de l'anonymat dans ce genre de situation avec l'analyse et la collecte de renseignements privés via les correspondances personnelles et professionnelles des utilisateurs. Le site officiel du projet Tor recommande vivement l'utilisation de Tor avec Mozilla Firefox et l'extension Torbutton ( lien ) qui permet d'activer ou non l'utilisation de Tor par le navigateur Open Source ( lien ).

Le qualificatif de Hack of the year, par le quotidien australien The Sidney Morning Herald ( lien ), semble légèrement disproportionné et inadéquat dans la mesure où la situation n'est pas des plus étonnantes et qu'elle résulte plus de l'ignorance des utilisateurs sur le fonctionnement de ce système que d'une véritable prouesse technique de la part du « chercheur » ; Dan Egerstad étant tout de même à l'origine d'une des collectes de données sensibles les plus importantes de ce type et il y a fort à parier que cette affaire ne lui aura pas apporté que des amis.

Si Dan Egerstad l'a fait avec ses moyens et dans ces conditions (en quelques mois de capture) alors « tout le monde » peut le faire ; avec un peu d'imagination il n'y a qu'un pas pour apercevoir de nouveau le spectre du « Big Brother » cher à Orwell ( et pourquoi pas un prétendant au titre 2008 des Big Brother Awards ( lien ).

Un podcast de l'interview par Patrick Gray de Dan Egerstad et du consultant américain en sécurité Sam Stover est également disponible ( lien ) ; à lire aussi ce billet ( lien ) sur le blog de Cédric Blancher ( Ingénieur-chercheur et responsable du département de recherche en sécurité informatique EADS - lien ).